web服务的终极加固-防御篇

一.iis加固
1.iis自动更新 避免0day。:管理工具--iis管理器--网站:web项目--右键--属性

2.更改默认日志的路径。目录:保存的目录只有系统可写,管理员只读。网站:改目录 高级:协议版本,cookies:入侵还原。 日志分析:(目前是搜集不提前预防)

3.iis权限:不能给写入和目录浏览(防止目录遍历漏洞)
主目录:写入,目录浏览不要给。防止上传网马。

4.删除所有不必要的映射,扩展名,保存当前页面所使用的脚本:asp,防挂马。
主目录--配置--映射

5.主目录--配置--调试 :向客户端发送信息:此网站已经记录...

6.限制后台访问ip:admin--目录安全性--ip限制

7.删除所有的自定义错误:防挂马。

二.数据库加固
1.力度越细,安全性越高:库。对象:表,列,行

2.更改默认数据库路径:conn.asp

3.禁止web和数据库同台:web--dmz,数据库--放内网。

4.数据库重定向到主页:data/db.mdb -- 右键-属性-重定向

三.NTFS权限加固:

终极防webshell(能写不能执行,能执行不能写入)d:\website  权限小--大。扩大....
1.删掉所有权限。

2.添加管理员--完全控制。

3.添加iis_wpg工作组--完全控制

4.添加iisuser_benet--只读

5.写入的目录:data.databackup.uploadface.uploadfile,iisuser_benet--写入。(Linux下就www用户)

6.给以上需要写入权限的目录:iis-网站-项目:相对应的目录:拒绝读。


小扩展:
asp注入小结:
1.利用正常的http服务
2.服务器的软硬件防火墙也是无可奈何
3.简单的手动注入只需要一个浏览器
4.sniffer(用于查看post提交的数据包)
5.自动化注入工具。sqlmap, pangplin.等

个人注意:退出清楚浏览器。 (敏感信息监测工具...)


发表评论

登录 后发表评论.